您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
英國一核設(shè)施曝出嚴(yán)重網(wǎng)絡(luò)安全失誤,已造成國家安全威脅
圖:衛(wèi)報設(shè)計/Alamy
英國塞拉菲爾德核設(shè)施承認(rèn)違規(guī)行為可能威脅國家安全,目前正等待最終判決,這是首個因IT安全問題被起訴的核設(shè)施。
安全內(nèi)參8月14日消息,英國最危險的核設(shè)施——塞拉菲爾德(Sellafield)因一系列網(wǎng)絡(luò)安全失誤面臨刑事指控。近日,該公司對相關(guān)指控表示認(rèn)罪,并承認(rèn)其失誤可能對國家安全構(gòu)成威脅。
倫敦威斯敏斯特地方法院獲悉,這個位于坎布里亞的大型核廢料堆場中,75%的計算機(jī)服務(wù)器都易受網(wǎng)絡(luò)攻擊。
塞拉菲爾德是一個龐大的核廢料堆場,儲存著核武器制造及幾十年來核電站發(fā)電產(chǎn)生的廢料。該設(shè)施擁有約1.1萬名員工,隸屬于由納稅人所有并資助的核退役管理局。
塞拉菲爾德發(fā)生一系列嚴(yán)重IT失誤
英國核監(jiān)管機(jī)構(gòu)透露,有可能威脅國家安全的信息被暴露了長達(dá)四年之久,而塞拉菲爾德聲稱一直在進(jìn)行關(guān)鍵的IT健康檢查,實際上這些檢查并未進(jìn)行。
去年年底,英媒《衛(wèi)報》通過“核泄漏”調(diào)查揭示,這家國有公司在過去幾年中發(fā)生了一系列IT失誤,面臨放射性污染,且其工作文化“有毒”。
《衛(wèi)報》的調(diào)查還曝光了其他嚴(yán)重問題。例如,外部承包商在無人監(jiān)督的情況下能夠?qū)盤插入塞拉菲爾德的系統(tǒng)。此外,該核設(shè)施的計算機(jī)服務(wù)器極度不安全。由于其敏感性和危險性,這個問題甚至被戲稱為《哈利·波特》故事中的“伏地魔”。
塞拉菲爾德在今年6月承認(rèn)了由核監(jiān)管辦公室(ONR)提出的指控,這些指控涉及2019年至2023年間的一系列信息技術(shù)安全違規(guī)行為。
目前,該公司正在等待最終判決。首席法官Paul Goldspring表示,判決將在幾周內(nèi)做出。核監(jiān)管辦公室表示,預(yù)計判決將在9月進(jìn)行。
庭審暴露塞拉菲爾德的IT脆弱狀況
在8月8日舉行的判決聽證會上,法院聽取了核監(jiān)管辦公室代理律師Nigel Lawrence KC所陳述的情況:一項測試發(fā)現(xiàn),可以通過網(wǎng)絡(luò)釣魚攻擊將惡意文件下載并執(zhí)行到塞拉菲爾德的IT網(wǎng)絡(luò),而“不會觸發(fā)任何警報”。
Lawrence律師援引該地分包商Atos的報告指出,這個全球最大的钚儲存場對內(nèi)外部網(wǎng)絡(luò)攻擊都極為脆弱,其75%的服務(wù)器不安全。
塞拉菲爾德外部IT公司Commissum的報告也指出,任何“技術(shù)熟練的黑客或惡意內(nèi)部人員”都可以訪問敏感數(shù)據(jù)并植入惡意軟件(計算機(jī)代碼),這些代碼可用于竊取信息。
塞拉菲爾德的代理律師Paul Greaney KC代表公司引用了一份書面證人聲明,表明首席執(zhí)行官Euan Hutton對數(shù)年來的失誤表示歉意。Hutton表示:“我再次代表公司為導(dǎo)致這些訴訟的事件道歉……我真誠地相信,導(dǎo)致此次起訴的問題已經(jīng)成為過去?!?/span>
Hutton本人出席了聽證會,但未在會上發(fā)言。
Greaney律師表示,公司試圖通過更換該地點的IT管理層并建立一個新的安全數(shù)據(jù)中心來解決其網(wǎng)絡(luò)安全問題。該律師還表示,近年來發(fā)現(xiàn)的一些問題被檢方 “火上澆油”。這些失誤并非出于節(jié)約成本的考慮。他補(bǔ)充道:“我們沒有摳門?!?/span>
法院還獲悉,一個分包商錯誤地接收了4000個文件,其中13個被歸類為“官方/敏感”文件,但并未觸發(fā)任何警報。
Lawrence律師指出,由于使用Windows 7和Windows 2008等“過時”技術(shù),該行業(yè)的特殊分類系統(tǒng)敏感核信息(SNI)部分被暴露SNI是一種分類信息的方式,可能涉及國家安全,在法律上具有特殊地位,類似于英國安全部門或公務(wù)員處理的其他機(jī)密材料。核監(jiān)管辦公室規(guī)定,如果信息被認(rèn)為“對計劃實施敵對行為的對手有價值”,則會被授予SNI狀態(tài)。
各方均表示這些失誤非常嚴(yán)重。首席法官Paul Goldspring表示,他需要在權(quán)衡納稅人負(fù)擔(dān)的同時,確保對該行業(yè)其他人起到震懾作用,防止他們犯下類似罪行。
首個因IT安全被起訴的核設(shè)施
法官表示,此次判決對所有人來說都是“全新的領(lǐng)域”,因為此前從未有核設(shè)施因類似問題被起訴過。
英國的公共支出監(jiān)察機(jī)構(gòu)國家審計署今年啟動了對塞拉菲爾德成本和風(fēng)險的調(diào)查。
《衛(wèi)報》去年報道,該設(shè)施的系統(tǒng)在去年12月被與俄羅斯等國有關(guān)的團(tuán)體入侵,植入了可能潛伏并用于間諜或攻擊系統(tǒng)的“沉睡”(sleeper)惡意軟件。
當(dāng)時,塞拉菲爾德表示,沒有證據(jù)表明網(wǎng)絡(luò)攻擊得逞。Greaney律師告訴法院,沒有發(fā)現(xiàn)針對塞拉菲爾德的“有效”網(wǎng)絡(luò)攻擊的證據(jù)。法院得知,塞拉菲爾德的操作中心被發(fā)現(xiàn)“無法對測試攻擊做出適當(dāng)?shù)膱缶晚憫?yīng)”。
一位公司發(fā)言人表示:“塞拉菲爾德非常重視網(wǎng)絡(luò)安全,這從我們的認(rèn)罪中可以體現(xiàn)出來。這些指控涉及歷史性違規(guī)行為,并無任何暗示公共安全受到威脅?!薄叭茽柕虏⑽丛馐艹晒Φ木W(wǎng)絡(luò)攻擊,也未丟失任何敏感核信息。我們已經(jīng)對我們的系統(tǒng)、網(wǎng)絡(luò)和結(jié)構(gòu)進(jìn)行了重大改進(jìn),以確保我們獲得更好的保護(hù)和更強(qiáng)的彈性?!?/span>
核監(jiān)管辦公室拒絕發(fā)表評論。塞拉菲爾德已同意支付5.3萬英鎊的法律費用。
參考資料:theguardian.com
來源:安全內(nèi)參